NICHOLAS EMILIOU
FŐTANÁCSNOK INDÍTVÁNYA
Az ismertetés napja: 2023. május 4.(1)
C‑683/21. sz. ügy
Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos
kontra
Valstybinė duomenų apsaugos inspekcija;
az „IT sprendimai sėkmei” UAB,
a Lietuvos Respublikos sveikatos apsaugos ministerija
részvételével
(a Vilniaus apygardos administracinis teismas [vilniusi megyei közigazgatási bíróság, Litvánia] által benyújtott előzetes döntéshozatal iránti kérelem)
„Előzetes döntéshozatal – A személyes adatok védelme – (EU) 2016/679 rendelet – A 4. cikk 7. pontja – Az »adatkezelő« fogalma – Mobilalkalmazás kifejlesztése a Covid19‑világjárvány összefüggésében – A mobilalkalmazás beszerzését célzó közbeszerzési eljárás megszervezéséért felelős közhatalmi szerv felelőssége – A 4. cikk 2. pontja – Az »adatkezelés« fogalma – Személyes adatoknak a mobilalkalmazás tesztelési szakaszában történő felhasználása – A 26. cikk (1) bekezdése – Közös adatkezelés – 83. cikk – Közigazgatási bírság kiszabása – Feltételek – A jogsértés szándékosságának vagy gondatlanságának követelménye – Az adatkezelőnek az adatfeldolgozó által végzett adatkezelésért fennálló felelőssége”
I. Bevezetés
1. Egy olyan világban, ahol a személyes adatok alku tárgyává, és a vállalkozások számára frissen felfedezett aranybányává váltak, milyen feltételek mellett szabható ki közigazgatási bírság adatkezelőkre‑ és feldolgozókra az (EU) 2016/679 rendeletben foglalt adatvédelmi szabályok megsértése esetén?(2) Közelebbről adott esetben kell‑e „vétkességet” megkövetelni ahhoz, hogy velük szemben ilyen bírságokat szabhassanak ki? Ez a Vilniaus apygardos administracinis teismas (vilniusi megyei közigazgatási bíróság, Litvánia) által a jelen ügyben felvetett központi kérdés.
2. Az e bíróság előtt a Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos (az egészségügyi minisztérium felügyelete alatt álló nemzeti közegészségügyi központ, Litvánia; a továbbiakban: NVSC) és a Valstybinė duomenų apsaugos inspekcija (állami adatvédelmi felügyelet, Litvánia; a továbbiakban: felügyelet) között folyamatban lévő jogvita lényegében arra vonatkozik, hogy az NVSC milyen szerepet játszott egy olyan mobilalkalmazás kifejlesztésében és a nyilvánosság számára elérhetővé tételében, amely 2020 áprilisában és májusában összegyűjtötte a Covid19 vírussal fertőzött betegekkel kapcsolatba került személyek személyes adatait.
3. Ebben az összefüggésben a jelen ügy lehetőséget kínál a Bíróságnak arra, hogy tovább tisztázza az általános adatvédelmi rendelet 4. cikkének 7. pontjában, 26. cikkének (1) bekezdésében, illetve 4. cikkének 2. pontjában meghatározott „adatkezelő”, „közös adatkezelők” és „adatkezelés” fogalmát, és hogy először vizsgálja meg, hogy az említett rendelet 83. cikkének alkalmazásában lehet‑e közigazgatási bírságot kiszabni olyan adatkezelővel szemben, amely nem szándékosan vagy gondatlanul sértette meg az általános adatvédelmi rendeletben foglalt szabályokat. E kérdés annak tisztázását igényli a Bíróságtól, hogy e rendelkezés objektív felelősség alapján lehetővé teszi‑e a bírságok vétkesség hiányában történő kiszabását.
II. Jogi háttér
A. Az uniós jog
4. Az általános adatvédelmi rendelet (148) preambulumbekezdése kimondja:
„Az e rendelet által előírt szabályok betartatásának erősítése érdekében e rendelet bármely megsértése esetén […] szankciókat – ideértve a közigazgatási bírságokat is – kell kiszabni. E rendelet kisebb megsértése esetén, illetve ha a valószínűsíthetően kiszabásra kerülő bírság egy természetes személy számára aránytalan terhet jelentene, a bírság helyett megrovás is alkalmazható. Kellő figyelmet kell azonban fordítani a jogsértés természetére, súlyosságára, időtartamára, szándékos jellegére és arra, hogy tettek‑e intézkedéseket az elszenvedett kár mértékének csökkentésére, továbbá a felelősség mértékére, a korábban e téren elkövetett jogsértésekre, arra, ahogyan a felügyeleti hatóság tudomást szerzett a jogsértésről, valamint arra, hogy az adatkezelő vagy adatfeldolgozó betartja‑e a vele szemben elrendelt intézkedéseket és hogy alkalmaz‑e valamely magatartási kódexet, valamint minden egyéb súlyosbító vagy enyhítő körülményre. A szankciók – ideértve a közigazgatási bírságok – kiszabására az uniós jog és a Charta általános elveivel összhangban megfelelő eljárási garanciákat – ideértve hatékony jogvédelmet és a tisztességes eljáráshoz való jogot – kell alkalmazni.”
5. E rendelet (150) preambulumbekezdése értelmében:
„Az e rendelet megsértése esetén alkalmazott közigazgatási szankciók szigorítása és harmonizálása érdekében minden felügyeleti hatóság hatáskörrel rendelkezik a közigazgatási bírság kiszabására. E rendeletben kell meghatározni a jogsértéseket, valamint a kapcsolódó közigazgatási bírságok összegének felső határát és azok megállapításának szempontjait; a közigazgatási bírságot az egyes esetekben az illetékes felügyeleti hatóság állapítja meg a konkrét helyzet valamennyi releváns körülményét figyelembe véve, és kellő figyelmet fordítva különösen a jogsértés természetére, súlyosságára és időtartamára, továbbá a jogsértés következményeire, valamint az e rendelet szerinti kötelezettségek teljesítésének biztosítása és a jogsértés következményeinek megelőzése vagy enyhítése érdekében tett intézkedésekre. […] A közigazgatási bírság kiszabása vagy a megrovás nem érinti a felügyeleti hatóságok egyéb hatásköreinek vagy az e rendelet szerinti egyéb szankcióknak az alkalmazását.”
6. Az általános adatvédelmi rendelet 4. cikkének 7. pontja úgy határozza meg az „adatkezelő” fogalmát, hogy az „az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza […]”.
7. E rendelet „Közös adatkezelők” című 26. cikke a releváns részében a következőket mondja ki:
„(1) Ha az adatkezelés céljait és eszközeit két vagy több adatkezelő közösen határozza meg, azok közös adatkezelőknek minősülnek. […]
[…]”
8. E rendeletnek „A közigazgatási bírságok kiszabására vonatkozó általános feltételek” című 83. cikke a következőképpen rendelkezik:
„(1) Valamennyi felügyeleti hatóság biztosítja, hogy e rendeletnek a (4), (5), (6) bekezdésben említett megsértése miatt az e cikk alapján kiszabott közigazgatási bírságok minden egyes esetben hatékonyak, arányosak és visszatartó erejűek legyenek.
(2) A közigazgatási bírságokat az adott eset körülményeitől függően az 58. cikk (2) bekezdésének a)–h) és j) pontjában említett intézkedések mellett vagy helyett kell kiszabni. Annak eldöntésekor, hogy szükség van‑e közigazgatási bírság kiszabására, illetve a közigazgatási bírság összegének megállapításakor minden egyes esetben kellőképpen figyelembe kell venni a következőket:
a) a jogsértés jellege, súlyossága és időtartama, figyelembe véve a szóban forgó adatkezelés jellegét, körét vagy célját, továbbá azon érintettek száma, akiket a jogsértés érint, valamint az általuk elszenvedett kár mértéke;
b) a jogsértés szándékos vagy gondatlan jellege;
[…]
k) az eset körülményei szempontjából releváns egyéb súlyosbító vagy enyhítő tényezők, például a jogsértés közvetlen vagy közvetett következményeként szerzett pénzügyi haszon vagy elkerült veszteség.
(3) Ha egy adatkezelő vagy adatfeldolgozó egyazon adatkezelési művelet vagy egymáshoz kapcsolódó adatkezelési műveletek tekintetében – szándékosan vagy gondatlanságból – e rendelet több rendelkezését is megsérti, a bírság teljes összege nem haladhatja meg a legsúlyosabb jogsértés esetén meghatározott összeget.
[…]”
B. A litván jog
9. A Viešthe jų pirkimų įstatymas (közbeszerzésekről szóló törvény) 72. cikkének (2) bekezdése kimondja:
„Az ajánlatkérő szerv hirdetmény közzététele nélküli tárgyalásos eljárást folytat le a következő szakaszokban:
(1) ajánlattételre vonatkozó írásbeli felhívás a kiválasztott gazdasági szereplők számára;
(2) a gazdasági szereplőkre vonatkozó, a közbeszerzési dokumentumokban meghatározott kizárási okok fennállásának vizsgálata, valamint annak vizsgálata, hogy a gazdasági szereplők megfelelnek‑e az előírt képesítési követelményeknek, és adott esetben az előírt minőségbiztosítási és/vagy környezetgazdálkodási előírásoknak;
(3) tárgyalások folytatása az ajánlattevőkkel az e törvény 66. cikkében meghatározott eljárásnak megfelelően, valamint az ajánlattevők végleges ajánlat benyújtására történő felhívása. Az ajánlatkérő szerv nem köteles végleges ajánlat benyújtását kérni, ha az előzetes hirdetmény közzététele nélküli tárgyalásos eljárásban egyetlen gazdasági szereplő vesz részt;
(4) a végleges ajánlatok értékelése és a sikeres pályázó meghatározása.”
III. A tényállás, a nemzeti eljárás és az előzetes döntéshozatalra előterjesztett kérdések
10. A Covid19 terjedése folytán előállt helyzetre válaszul a Litván Köztársaság egészségügyi minisztere (a továbbiakban: egészségügyi miniszter) 2020. március 24‑i határozatával utasította az NVSC igazgatóját, hogy szervezze meg egy mobilalkalmazás, a KARANTINAS kifejlesztését és beszerzését. E mobilalkalmazást a Covid19 vírussal fertőzött betegekkel kapcsolatba került személyek személyes adatainak gyűjtésére és nyomon követésére tervezték.(3)
11. 2020. március 27‑én egy, magát az NVSC képviselőjének valló személy arról tájékoztatta az „IT sprendimai sėkmei” UAB társaságot (a továbbiakban: ITSS), hogy őt választották ki a KARANTINAS fejlesztőjének. Az ITSS és e személy, valamint az ITSS és az NVSC néhány munkavállalója, továbbá az NVSC igazgatója e‑maileket váltott egymással az alkalmazás fejlesztéséről. E szakaszban titoktartási megállapodás is született, amely az ITSS‑re és az NVSC‑re is adatkezelőként utal.
12. A végül kifejlesztett mobilalkalmazást a nyilvánosság számára 2020. április 4‑én tették elérhetővé a Google Play Store‑ban, az Apple App Store‑ban pedig 2020. április 6‑án. Mind az ITSS‑re, mind az NVSC‑re ez alkalommal is adatkezelőként utaltak a KARANTINAS letöltés céljából a nyilvánosság számára hozzáférhetővé tett változatában is. Ebben az időszakban ezt a mobilalkalmazást az NVSC még nem vásárolta meg.
13. 2020. április 10‑i határozatával az egészségügyi miniszter arra utasította az NVSC igazgatóját, hogy a közbeszerzésekről szóló törvény 72. cikkének (2) bekezdése alapján hirdetmény közzététele nélküli tárgyalásos eljárás keretében vásárolja meg a KARANTINAS‑t.
14. Ezt az eljárást megindították, mivel azonban nem állt rendelkezésre a szükséges finanszírozás, az NVSC megszüntette azt. Nem kötöttek tehát adásvételre irányuló közbeszerzési szerződést. A KARANTINAS azonban továbbra is letölthető maradt a nyilvánosság számára.
15. 2020. május 15‑én az NVSC arra kérte az ITSS‑t, hogy a mobilalkalmazásban ne használja fel az NVSC adatait, illetve ne utaljon az NVSC‑vel fennálló kapcsolatra. 2020. május 18‑án a felügyelet vizsgálatot indított mind az ITSS‑t, mind az NVSC‑t illetően az általános adatvédelmi rendeletben meghatározott szabályok megsértése miatt. A KARANTINAS tevékenységét a felügyelet felhívására 2020. május 26‑án felfüggesztették. Az ITSS szerint 2020. április 4. és május 26. között 3802 felhasználó adta meg személyes adatait az alkalmazáson keresztül.
16. A felügyelet 2021. február 24‑i határozatával közigazgatási bírságot szabott ki az NVSC‑vel és az ITSS‑szel, mint közös adatkezelőkkel szemben, az általános adatvédelmi rendelet 5., 13., 24., 32. és 35. cikkének megsértése miatt.(4)
17. E határozatot az NVSC megtámadta a Vilniaus apygardos administracinis teismas (vilniusi megyei közigazgatási bíróság) előtt. E bíróság lényegében arra keresi a választ, hogy az „adatkezelőnek” az általános adatvédelmi rendelet 4. cikkének 7. pontja értelmében vett fogalmát tágan kell‑e értelmezni, oly módon, hogy az magában foglal minden olyan természetes vagy jogi személyt vagy szervezetet, mint az NVSC, amely ugyan nem a mobilalkalmazás fejlesztője, de amely az ilyen mobilalkalmazás ajánlati felhívás útján történő beszerzése céljából meghatározta „a személyes adatok kezelésének céljait és eszközeit”, vagy e fogalmat szigorúan kell értelmezni, figyelembe véve a közbeszerzési eljárást és annak eredményét.
18. Közelebbről azt kérdezi, hogy e tekintetben releváns‑e az a tény, hogy a közbeszerzési eljárást végül megszüntették, és hogy a KARANTINAS‑t az NVSC soha nem vásárolta meg. A kérdést előterjesztő bíróság arra is választ vár, hogy befolyásolja‑e ezt az értékelést az, hogy az NVSC hivatalosan nem járult hozzá e mobilalkalmazás nyilvánosság számára történő hozzáférhetővé tételéhez, illetve nem engedélyezte azt.
19. Ezenkívül vizsgálja az NVSC és az ITSS közötti kapcsolatot. E tekintetben azt kívánja megtudni, hogy e jogalany és e társaság milyen körülmények között tekintendő az általános adatvédelmi rendelet 4. cikkének 7. pontja és 26. cikkének (1) bekezdése értelmében vett „közös adatkezelőnek”. Másodlagosan, amennyiben az NVSC és az ITSS nem „közös adatkezelőnek”, hanem az általános adatvédelmi rendelet értelmében vett „adatkezelőnek” és „adatfeldolgozónak” minősülne,(5) e bíróság azt kívánja megtudni, hogy az ITSS cselekményei mikor eredményezhetik az NVSC felelősségét. E tekintetben arra keresi a választ, hogy az általános adatvédelmi rendelet 83. cikkét úgy kell‑e értelmezni, hogy közigazgatási bírság szabható ki az NVSC‑hez hasonló olyan adatkezelővel szemben, aki maga sem szándékosan, sem gondatlanságból nem sértette meg e rendeletet.
20. E megfontolásokra tekintettel a Vilniaus apygardos administracinis teismas (vilniusi megyei közigazgatási bíróság, Litvánia) úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:
„1) Értelmezhető‑e úgy az »adatkezelőnek« az általános adatvédelmi rendelet 4. cikkének 7. pontjában meghatározott fogalma, hogy adatkezelőnek kell tekinteni azt a személy is, aki közbeszerzés keretében adatgyűjtő eszközt (mobilalkalmazást) tervez beszerezni, függetlenül attól, hogy nem kötöttek közbeszerzési szerződést, és hogy a létrehozott terméket (mobilalkalmazást) – amelynek beszerzésére közbeszerzési eljárást vettek igénybe – nem ruházták át?
2) Értelmezhető‑e úgy az »adatkezelőnek« az általános adatvédelmi rendelet 4. cikkének 7. pontjában meghatározott fogalma, hogy adatkezelőnek kell tekinteni azt az ajánlatkérő szervet is, amely nem szerezte meg a létrehozott informatikai termék feletti tulajdonjogot, és azt nem vette birtokba, de a létrehozott alkalmazás végleges változata linket vagy interfészt tartalmaz a szóban forgó közjogi jogalanyhoz, és/vagy a szóban forgó közjogi jogalany által hivatalosan nem jóváhagyott és nem elismert titoktartási szabályzat e közjogi jogalanyt adatkezelőként jelöli meg?
3) Értelmezhető‑e úgy az »adatkezelőnek« az általános adatvédelmi rendelet 4. cikkének 7. pontjában meghatározott fogalma, hogy adatkezelőnek kell tekinteni azt a személyt is, aki nem végzett az általános adatvédelmi rendelet 4. cikkének 2. pontjában meghatározott tényleges adatkezelési műveletet, és/vagy nem adott egyértelmű engedélyt/hozzájárulást ilyen művelet elvégzéséhez? Jelentőséggel bír‑e az »adatkezelő« fogalmának értelmezése szempontjából az, hogy a személyes adatok kezeléséhez használt informatikai terméket az ajánlatkérő által megfogalmazott megbízással összhangban állították elő?
4) Amennyiben a tényleges adatkezelési műveletek meghatározása jelentőséggel bír az »adatkezelő« fogalmának értelmezése szempontjából, úgy kell‑e értelmezni a személyes adatok »kezelésének« az általános adatvédelmi rendelet 4. cikkének 2. pontja szerinti fogalmát, hogy az kiterjed azokra a helyzetekre is, amelyekben személyes adatok másolatait használták fel informatikai rendszerek mobilalkalmazás beszerzése során történő teszteléséhez?
5) Kizárólag úgy értelmezhető‑e az általános adatvédelmi rendelet 4. cikke 7. pontjának és 26. cikke (1) bekezdésének megfelelő közös adatkezelés, hogy az az adatkezelés céljának és eszközeinek meghatározását illetően szándékosan összehangolt cselekvéseket foglal magában, vagy e fogalom úgy is értelmezhető, hogy az olyan helyzetekre is kiterjed, amelyekben nincs egyértelmű »megállapodás« az adatkezelés céljaira és eszközeire nézve, és/vagy a jogalanyok cselekményei nincsenek összehangolva egymással? Jogilag relevanciával bírnak‑e a közös adatkezelés fogalmának értelmezése szempontjából a személyesadat‑kezelési eszköz (informatikai alkalmazás) létrehozásának ahhoz a szakaszához kapcsolódó körülmények, amelyben személyes adatokat kezeltek, valamint az alkalmazás létrehozásának célja? A közös adatkezelők »megállapodása« kizárólag a közös adatkezelésre irányadó feltételek egyértelmű meghatározásaként érthető?
6) Úgy kell‑e értelmezni az általános adatvédelmi rendelet 83. cikkének (1) bekezdésében szereplő rendelkezést, amely szerint a »közigazgatási bírságok […] hatékonyak, arányosak és visszatartó erejűek legyenek«, hogy az kiterjed az »adatkezelő« felelősségével kapcsolatos esetekre is akkor, amikor valamely informatikai termék létrehozása során a fejlesztő is végez személyesadat‑feldolgozási műveleteket, továbbá hogy minden esetben automatikusan maguk után vonják‑e az adatkezelő felelősségét az adatfeldolgozó által szabálytalanul végzett személyesadat‑feldolgozási műveletek? Úgy kell‑e értelmezni ezt a rendelkezést, hogy az az adatkezelő objektív felelősségének eseteire is vonatkozik?”
21. A 2021. október 22‑i előzetes döntéshozatal iránti kérelmet 2021. november 12‑én vették a Bíróságon nyilvántartásba. Az NVSC, a felügyelet, a litván kormány és az Európai Bizottság nyújtott be írásbeli észrevételeket.
22. A 2023. január 17‑én tartott tárgyaláson a litván és a holland kormány, valamint a Bizottság és a Tanács képviseltette magát.
IV. Értékelés
23. A Covid19‑világjárvány idején számos tagállamban a nyilvánosság számára letölthetővé tettek olyan mobilalkalmazásokat, amelyek célja a vírussal fertőzött személyek és/vagy a vírussal fertőzött személlyel kapcsolatba került személyek „nyomon követése és felkutatása” volt. Az ilyen mobilalkalmazásokat azzal a céllal fejlesztették ki, hogy reagáljanak a sürgős helyzetre, gyakran több állami és magánjogi jogalany (például minisztériumok és más állami szervek, valamint magánvállalkozások) bevonásával. A felhasználók kötelesek voltak személyes adataikat feltölteni ezekre a mobilalkalmazásokra, az egészségügyi adataikat is beleértve.(6)
24. Az alapeljárás éppen egy ilyen mobilalkalmazásra, azaz a KARANTINAS alkalmazásra vonatkozik, amelyet az ITSS (egy magánvállalkozás) fejlesztett ki az NVSC (egy hatóság) kezdeményezésére, az egészségügyi miniszter határozatát követően. Sem az ügy irataiból, sem pedig a tárgyaláson előadottakból nem tűnik ki egyértelműen, hogy adott esetben más litván közjogi jogalanyok is részt vettek‑e az alkalmazás fejlesztésében.(7) Kétségek merülnek fel azzal kapcsolatban is, hogy az NVSC hozzájárult‑e ahhoz, hogy a KARANTINAS‑t a személyes adatok kezelésének időszakában (2020. április és május) a nyilvánosság számára hozzáférhetővé tegyék. Mindazonáltal a Bíróság elé terjesztett kérdésekben a Vilniaus apygardos administracinis teismas (vilniusi megyei közigazgatási bíróság) a következő körülményeket jelölte meg relevánsként.
– Az NVSC a KARANTINAS megvásárlását tervezte a közbeszerzésekről szóló törvény 72. cikkének (2) bekezdésével összhangban, de az eljárást nem folytatták le, és a megvásárlásra nem került sor. A KARANTINAS tulajdonjogát tehát az ITSS nem ruházta át az NVSC‑re.
– Az NVSC‑re adatkezelőként hivatkoztak a KARANTINAS titoktartási szabályzatában, amelyet nyilvánosan hozzáférhetővé tettek. Az NVSC‑re mutató linkek az alkalmazás legutóbbi változatában is szerepeltek, amelyet azonban az NVSC hivatalosan nem hagyott jóvá.
– Az NVSC maga nem kezelt személyes adatokat, és nem is járult hozzá alakszerűen a végrehajtott adatkezelési műveletekhez, de utasításokat adott a KARANTINAS fejlesztésére vonatkozóan, és ezen utasításokat az ITSS követte.
– Az ITSS és az NVSC nem kötött alakszerű megállapodást a megvalósult személyesadat‑kezelés céljairól és eszközeiről.
25. Ezen összefüggésben a Bíróság elé terjesztett kérdések az általános adatvédelmi rendelet különböző rendelkezéseinek értelmezésére vonatkoznak. Az első három kérdés, valamint az ötödik kérdés az e rendelet 4. cikkének 7. pontja értelmében vett „adatkezelő” fogalmának értelmezését igényli, és szükségessé teszik azon feltételek pontosítását, amelyek mellett két vagy több jogalany a fenti rendelkezés és ugyanezen rendelet 26. cikkének (1) bekezdése értelmében véve „közös adatkezelőnek” tekinthető. Először ezeket a kérdéseket együttesen elemzem (A), mielőtt rátérnék a negyedik kérdésre, amely az általános adatvédelmi rendelet 4. cikkének 2. pontja szerinti „adatkezelés” fogalmára és annak alkalmazására vonatkozik egy mobilalkalmazás tesztelési szakasza keretében (B).(8) Ezt követően a jelen ügy középpontjában álló kérdést, nevezetesen a hatodik kérdést vizsgálom, amely transzverzális jellegű, mivel azon feltételekre vonatkozik, amelyek mellett az adatkezelőkkel szemben közigazgatási bírságok szabhatók ki az általános adatvédelmi rendelet 83. cikke alapján (C).
A. Az „adatkezelő” fogalmáról és a közös adatkezelés eseteiről (1–3. és 5. kérdés)
26. Első három kérdésével a kérdést előterjesztő bíróság lényegében arra keresi a választ, hogy a jelen indítvány 24. pontjában részletezett körülményekre tekintettel az NVSC‑hez hasonló jogalanyt az általános adatvédelmi rendelet 4. cikkének 7. pontja értelmében vett „adatkezelőnek” kell‑e tekinteni. Ezenkívül ötödik kérdésével a kérdést előterjesztő bíróság arra keresi a választ, hogy ilyen körülmények között az NVSC‑hez és az ITSS‑hez hasonló két jogalanyt e rendelkezésnek és az említett rendelet 26. cikke (1) bekezdésének megfelelően „közös adatkezelőnek” kell‑e tekinteni, még akkor is, ha nem állapodtak meg alakszerűen az adatkezelés céljairól és eszközeiről, illetve úgy tűnik, hogy tevékenységeiket más módon nem hangolták össze.
1. Ki az adatkezelő? (1–3. kérdés)
27. Emlékeztetek arra, hogy az általános adatvédelmi rendelet 4. cikkének 7. pontja alapján az „adatkezelő” meghatározása szerint az a személy vagy szervezet, amely „a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza”. Egyszerűen fogalmazva, az adatkezelőnek nem kell egyetlen személyes adatot sem kezelnie, hanem azt kell meghatároznia, hogy az érintett adatkezelési műveletek „miért és hogyan” valósulnak meg.(9) A Bíróság utalt arra, hogy e feltétel teljesítése érdekében valamely személynek vagy szervezetnek „befolyást [kell gyakorolnia] a személyes adatok kezelésére”.(10) Nem szükséges azonban, hogy az adatkezelés céljait és eszközeit írásbeli iránymutatásokkal vagy az adatkezelő utasításaival összhangban határozzák meg.(11) Az általános adatvédelmi rendelet 4. cikkének 7. pontja ugyanis inkább ténybeli, mint formális elemzést igényel.
28. Ezzel összefüggésben az Európai Adatvédelmi Testület (EDPB) is arra utalt, hogy az adatkezelői minőség az adatok ellenőrzésére vonatkozóan jogszabályban biztosított konkrét hatáskör vagy felhatalmazás meglététől függetlenül is fennállhat. Az adatkezelés céljainak és eszközeinek meghatározására való lehetőség ugyanis mindenekelőtt a gyakorolt befolyástól függ, amely a ténybeli körülményekből vezethető le. Így az a jogalany, amely ténylegesen képes meghatározni az adatkezelés céljait és eszközeit, „adatkezelőnek” minősül, függetlenül attól, hogy formálisan (törvényben, szerződésben vagy más módon) ilyenként jelölték‑e meg.(12)
29. E pontosításokat követően rámutatok, hogy a kérdést előterjesztő bíróság által az előzetes döntéshozatalra előterjesztett első három kérdésben leírt körülmények közül több tisztán formális jellegű, például az a tény, hogy az NVCS jogilag nem rendelkezik a KARANTINAS tulajdonjogával, vagy hogy az e mobilalkalmazás beszerzésére irányuló eljárás nem fejeződött be, illetve hogy az NVSC hivatalosan nem engedélyezte az alkalmazás nyilvánosság számára történő kibocsátását, és nem hagyta jóvá az alkalmazás utolsó változatát sem. Álláspontom szerint e körülmények egyike sem zárhatja ki önmagában annak megállapítását, hogy az NVSC az alapeljárás keretében az általános adatvédelmi rendelet 4. cikkének 7. pontja értelmében vett „adatkezelőként” járt el. Ezek ugyanis nem elegendőek azon következtetés megcáfolásához, amely szerint az NVSC ténylegesen meg tudta határozni a személyes adatok kezelésének céljait és eszközeit. Ugyanezen okból számomra úgy tűnik, hogy az a tény, hogy az NVSC‑re adatkezelőként hivatkoztak a KARANTINAS letöltés céljából a nyilvánosság számára elérhetővé tett változatának titoktartási szabályzatában, vagy hogy az e jogalanyra mutató linkek szerepeltek a mobilalkalmazás e változatában, releváns, de nem meghatározó az e jogalany által ténylegesen gyakorolt befolyást illetően.
30. Ezzel szemben a kérdést előterjesztő bíróság rendelkezésére álló bizonyítékok, amelyek azt mutatják, hogy az NVSC döntött arról, hogy a KARANTINAS milyen típusú személyes adatokat gyűjt, és mely érintettektől, illetve az adatkezelés egyéb kulcsfontosságú szempontjairól, véleményem szerint elegendőek annak megállapításához, hogy e jogalany határozta meg az adatkezelés „eszközeit”. Úgy vélem továbbá, hogy az a tény, hogy a KARANTINAS‑t az NVSC által meghatározott cél – nevezetesen a Covid19‑világjárványra való reagálás – elérése érdekében hozták létre, és hogy az ITSS rendszeresen módosította annak működését az NVSC által meghatározott igényeknek való megfelelés érdekében, az e jogalany által adott utasításokkal összhangban, elegendő annak megállapításához, hogy e szervezet határozta meg az említett adatkezelés „céljait”.
31. Ezek alapján úgy vélem, hogy annak meghatározása érdekében, hogy az NVSC‑hez hasonló jogalany az általános adatvédelmi rendelet 4. cikkének 7. pontja értelmében vett „adatkezelőnek” tekinthető‑e, a kérdést előterjesztő bíróságnak azt is meg kell vizsgálnia, hogy az NVSC által a KARANTINAS fejlesztésének szakaszában gyakorolt befolyás ellenére az e mobilalkalmazás nyilvánosság számára történő hozzáférhetővé tételére, és ennélfogva a személyes adatok kezelésére vonatkozó döntést ténylegesen e jogalany (kifejezett vagy hallgatólagos) hozzájárulásával hozták‑e meg (függetlenül attól, hogy e hozzájárulást hivatalosan vagy formálisan nem adták meg).
32. Amint azt ugyanis az „adatkezelő” fogalmának az általános adatvédelmi rendelet 4. cikkének 7. pontjában szereplő meghatározása egyértelműen jelzi, az adatkezelő által gyakorolt befolyásnak magára a személyesadat‑kezelésre kell vonatkoznia, nem pedig bármely előzetes lépésre. Egy természetes vagy jogi személy, illetve szervezet nem válik „adatkezelővé” pusztán azért, mert mobilalkalmazás kifejlesztését kezdeményezi, vagy meghatározza az alkalmazás (vagy más adatgyűjtési eszköz) paramétereit. Cselekményeinek ténylegesen kapcsolódniuk kell a személyes adatok kezeléséhez, következésképpen kifejezetten vagy hallgatólagosan hozzá kell járulnia a vonatkozó eszköz ilyen adatkezelés során történő használatához.
33. A Bíróság hangsúlyozta ezt a követelményt a Fashion ID ítéletben,(13) amelyben kifejezetten kimondta, hogy az adatkezelő felelőssége csak arra a személyesadat‑kezelési műveletre vagy műveletcsoportra vonatkozik, amelynek céljait és eszközeit ténylegesen ő határozza meg.(14) Ebből következik, hogy a célok és eszközök meghatározásának közvetlenül kapcsolódnia kell a személyesadat‑kezeléssel járó, vonatkozó művelethez vagy műveletek összességéhez.
34. Véleményem szerint e megállapításokból az következik, hogy az NVSC‑hez hasonló jogalany, amely mobilalkalmazás kifejlesztését kezdeményezi, csak abban az esetben tekinthető az általános adatvédelmi rendelet 4. cikkének 7. pontja értelmében vett „adatkezelőnek”, ha elegendő olyan ténybeli, nem pedig formális körülmény áll fenn, amely lehetővé teszi a nemzeti bíróságok számára annak megállapítását, hogy az ilyen jogalany tényleges befolyást gyakorolt ezen adatkezelés „céljaira és eszközeire”, valamint hogy hozzájárult a mobilalkalmazás nyilvánosság számára történő hozzáférhetővé tételéhez, és ebből következően a személyes adatok kezeléséhez. A kérdést előterjesztő bíróság által végzett vizsgálat függvényében úgy vélem, hogy az NVSC megfelel e követelményeknek.
2. Mikor tekinthető két jogalany közös adatkezelőnek? (5. kérdés)
35. Az ötödik kérdés azokra a feltételekre vonatkozik, amelyeknek teljesülniük kell ahhoz, hogy két (vagy több) jogalany közös adatkezelőnek minősüljön. Úgy értelmezem, hogy a kérdést előterjesztő bíróság e fogalom értelmezését azért kéri, mivel azt gyanítja, hogy az alapügyben szóban forgó helyzetben az NVSC és az ITSS „közös adatkezelőknek” tekinthetők, és mint ilyenek egyetemlegesen felelősek az okozott kárért,(15) illetve együttesen szankcionálhatók az adatvédelmi szabályoknak a KARANTINAS nyilvánosság általi letöltés céljából történő rendelkezésre bocsátása során elkövetett megsértése miatt. E tekintetben megjegyzem, hogy – amint arra a jelen indítvány fenti 16. pontjában rámutattam – a felügyelet valójában mind e jogalany, mind e társaság felelősségét megállapította a közös adatkezelőként elkövetett jogsértésekért, és velük szemben az általános adatvédelmi rendelet 83. cikke alapján bírságot szabott ki.
36. Az általános adatvédelmi rendelet 26. cikkének (1) bekezdése szerint „közös adatkezelőkről” akkor van szó, ha két vagy több adatkezelő közösen határozza meg az adatkezelés céljait és eszközeit. Ennélfogva, minden közös adatkezelőnek önállóan meg kell felelnie az e rendelet 4. cikkének 7. pontjában szereplő „adatkezelő” fogalommeghatározásában felsorolt kritériumoknak.(16) Ezenkívül a közös adatkezelőknek bizonyos kapcsolatban kell állniuk egymással, mivel az adatkezelésre együttesen kell hatást gyakorolniuk.
37. A Bíróság rámutatott, hogy a közös adatkezelés fennállása nem jelenti szükségképpen az érintett különböző személyek vagy szervezetek azonos felelősségét vagy egyenlő részvételét. Éppen ellenkezőleg, mivel a közös adatkezelők az adatkezelés eltérő szakaszaiban vehetnek részt, adatkezelői felelősségük mértékét az ügyre jellemző valamennyi releváns körülmény figyelembevételével kell értékelni.(17) Ezen túlmenően, az ugyanazon adatkezelés tekintetében több jogalany együttes felelőssége fennállásának nem előfeltétele, hogy mindegyik adatkezelő hozzáférjen az érintett személyes adatokhoz.(18) Lényeges azonban, hogy együttesen vegyenek részt az adatkezelés „céljainak és eszközeinek” meghatározásában.
38. E tekintetben megjegyzem, hogy amint arra a 07/2020 iránymutatás rámutat, az ilyen együttes részvétel különböző formákban nyilvánulhat meg. Következhet két vagy több jogalany által hozott közös döntésből, vagy egyszerűen e jogalanyok egybehangzó döntéseiből. Amennyiben az utóbbi eset áll fenn, csak annak van jelentősége, hogy a döntések kiegészítsék egymást, és szükségesek legyenek az adatkezeléshez oly módon, hogy konkrét hatással legyenek az adatkezelés céljainak és eszközeinek meghatározására – ami lényegében azt jelenti, hogy az adatkezelés nem lenne lehetséges mindkét fél részvétele nélkül.(19)
39. Ebben az összefüggésben a kérdést előterjesztő bíróság arra keresi a választ, hogy az a tény, hogy két adatkezelő (a jelen esetben az NVSC és az ITSS) formálisan nem állapodott meg az adatkezelés céljairól és eszközeiről, és/vagy úgy tűnik, hogy tevékenységeiket más módon nem hangolták össze, kizárja‑e azt, hogy őket „közös adatkezelőknek” lehessen tekinteni.
40. Megértem, hogy a kérdést előterjesztő bíróság kétségei e tekintetben abból erednek, hogy az általános adatvédelmi rendelet 26. cikkének (1) bekezdése értelmében a közös adatkezelőknek átlátható módon, egymás közötti megállapodás révén meg kell határozniuk az e rendelet szerinti kötelezettségek teljesítéséért fennálló felelősségüket. Ezenkívül e rendelet (79) preambulumbekezdése kimondja, hogy szükséges a „hatáskörök egyértelmű [felosztása]”, ideértve azt az esetet is, amikor az adatkezelő másokkal közösen határozza meg az adatkezelés céljait és eszközeit. Véleményem szerint azonban e kötelezettségek és követelmények csak akkor alkalmazandók a közös adatkezelőkre, ha ilyennek tekinthetők. Nem tartoznak azon kritériumok közé, amelyeknek az ilyen minősítéshez teljesülniük kell.
41. Amint arra a jelen indítvány fenti 36. pontjában rámutattam, a közös adatkezelés pusztán két objektív feltétel teljesülésétől függ. Először is minden közös adatkezelőnek meg kell felelnie az általános adatvédelmi rendelet 4. cikkének 7. pontjában szereplő „adatkezelő” fogalommeghatározásában felsorolt kritériumoknak. Az ügy iratai nem tartalmaznak elegendő információt annak meghatározásához, hogy az alapügyben szóban forgó helyzetben az ITSS‑t az e rendelkezés értelmében vett „adatkezelőnek” kell‑e tekinteni. Mindazonáltal az előző részben tett megállapítások fényében és a kérdést előterjesztő bíróság által elvégzendő vizsgálatok függvényében úgy tűnik számomra, hogy legalábbis az NVSC – vagy akár mind e jogalany. mind az ITSS – megfelel az ugyanezen rendelkezés értelmében vett „adatkezelőnek” való minősüléshez szükséges feltételeknek. Másodszor, az adatkezelőknek az adatkezelésre együttesen kell befolyást gyakorolniuk (ami azt jelenti, hogy azt a jelen indítvány fenti 37. és 38. pontjában felidézett jogi feltételekkel és ítélkezési gyakorlattal összhangban kell gyakorolni). E tekintetben kifejtettem, hogy az adatkezelésben való közös részvétel különböző formákat is ölthet, és még csak az érintett felek közös döntéséből sem kell erednie. Véleményem szerint a közös adatkezelésre is alkalmazandó az annak meghatározásához szükséges tartalmi és funkcionális megközelítés, hogy valamely személyt vagy jogalanyt az általános adatvédelmi rendelet 4. cikkének 7. pontja értelmében vett „adatkezelőnek” kell‑e tekinteni.(20)
42. E körülményekre tekintettel először is úgy vélem, hogy az NVSC‑hez és az ITSS‑hez hasonló két vagy több adatkezelő közötti megállapodás, vagy akár közös döntés hiánya önmagában nem zárhatja ki annak megállapítását, hogy azok az általános adatvédelmi rendelet 26. cikkének (1) bekezdésével összefüggésben értelmezett 4. cikkének 7. pontja értelmében vett „közös adatkezelők”. E tekintetben hozzáteszem, hogy az EDPB szerint bár a szerződéses megállapodások hasznosak lehetnek a közös adatkezelés értékelésében, azokat mindig a felek közötti kapcsolat tényszerű körülményei alapján kell ellenőrizni.(21)
43. Másodszor, számomra úgy tűnik, hogy pusztán az a tény, hogy úgy tűnik, az NVSC és az ITSS – azon túl, hogy nem kötöttek szerződést, megállapodást vagy nem hoztak közös döntést – nem hangolta össze cselekményeit vagy működött együtt más módon, nem jelenti azt, hogy nem lehet őket „közös adatkezelőknek” tekinteni. Még ha létezik is ilyen összehangolás vagy együttműködés, nincs jelentősége annak a kérdésnek, hogy az e két jogalany közötti kapcsolat közös adatkezelési viszonynak minősül‑e, vagy sem. Könnyen elképzelhető ugyanis, hogy két vagy több jogalany együttműködik egymással vagy összehangolja tevékenységét anélkül, hogy közös adatkezelők lennének. Például két különböző adatkezelő összehangolhatja tevékenységét vagy együttműködhet egymással a személyes adatok egymás közötti továbbítására irányuló szándékkal. Ez azonban nem teszi őket az általános adatvédelmi rendelet 4. cikkének 7. pontja és 26. cikkének (1) bekezdése értelmében vett „közös adatkezelőkké”.(22) Ami lényeges, amint azt a fenti 38. pontban kifejtettem, hogy az adatkezelés nem lett volna lehetséges mindkét fél közreműködése nélkül, mivel mindketten érezhető befolyást gyakoroltak ezen adatkezelés céljainak és eszközeinek meghatározására.
3. Az „adatkezelő” fogalmának és a közös adatkezelés eseteinek értelmezésére vonatkozó következtetés
44. A fentiekre tekintettel számomra úgy tűnik, hogy egyrészt – a kérdést előterjesztő bíróság által elvégzendő vizsgálatok függvényében – az NVSC‑hez hasonló jogalany teljesíti az általános adatvédelmi rendelet 4. cikkének 7. pontjában felsorolt feltételeket ahhoz, hogy „adatkezelőnek” minősüljön. Ezzel szemben az, hogy az NVSC és az ITSS „közös adatkezelőnek” tekinthetők‑e az előző szakaszban kifejtett kritériumok alapján, vagy „adatkezelőnek”, illetve „adatfeldolgozónak” minősülnek‑e, a kapcsolatuk jellegétől függ, aminek az értékelése a kérdést előterjesztő bíróság feladata.
45. E tekintetben hozzáteszem, hogy az NVSC és az ITSS közötti kapcsolat jellege (vagyis hogy „közös adatkezelők”, illetve külön‑külön „adatkezelők” és „adatfeldolgozók”) releváns a hatodik kérdés szempontjából. A hatodik kérdés által felvetett problémákkal kapcsolatban visszatérek tehát azokra a megállapításokra, amelyeket az ötödik kérdéssel kapcsolatban tettem.
B. Az „adatkezelés” fogalmáról (4. kérdés)
46. A negyedik kérdéssel a kérdést előterjesztő bíróság lényegében azt kívánja megtudni, hogy az általános adatvédelmi rendelet 4. cikkének (2) bekezdésében szereplő „adatkezelés” fogalommeghatározása kiterjed‑e arra a helyzetre, amelyben a személyes adatokat a mobilalkalmazás tesztelési szakaszában használják fel.(23) Az előzetes döntéshozatal iránti kérelem alapján úgy vélem, hogy a KARANTINAS a nyilvánosság általi letöltés céljából történő rendelkezésre bocsátását megelőzően tesztelési szakaszon ment keresztül. Véleményem szerint a negyedik kérdés tehát a Bíróság elé terjesztett többi kérdés középpontjában állótól eltérő helyzetre vonatkozik, amely kérdések mindegyike a személyes adatoknak a tesztelési szakaszt követő kezelésére vonatkozik, amikor a KARANTINAS‑t nyilvánosságra hozták. A kérdést előterjesztő bíróság konkrétan azt szeretné megtudni, hogy a személyes adatoknak az említett tesztelési szakaszban történő felhasználása az általános adatvédelmi rendelet 4. cikkének (2) bekezdése értelmében vett „adatkezelésnek” minősülhet‑e, és mint ilyen, az érintett adatkezelők, illetve adatfeldolgozók esetleges felelősségét vonja‑e maga után.
47. Az általános adatvédelmi rendelet 4. cikkének 2. pontja úgy határozza meg az „adatkezelést”, hogy az „a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége […]”.(24)
48. E megfogalmazás alapján úgy vélem (többek között a „bármely” kifejezés és az olyan általános kifejezések használata alapján, mint a „művelet” vagy a „műveletek összessége”), hogy e rendelkezést tágan kell értelmezni, oly módon, hogy az a lehető legtöbb olyan helyzetre vonatkozzon, amelyben személyes adatokat használnak. Az ilyen helyzetek e rendelkezésben szereplő, nem kimerítő felsorolása megerősíti ezt az értelmezést, tekintettel az ott szereplő műveletek sokféleségére.(25)
49. Ezenkívül, noha a fenti szakaszból az következik, hogy az „adatkezelő” e rendelet 4. cikkének 7. pontja értelmében vett meghatározása szorosan kapcsolódik a személyes adatok kezelésének céljaihoz (a személyes adatok gyűjtésének „miértje”), az említett rendelet 4. cikkének 2. pontjában szereplő fogalommeghatározás esetében nem ez a helyzet. Önmagukban azon okok, amelyek miatt valamely művelet vagy műveletek összessége megvalósul, főszabály szerint nem befolyásolják azt a kérdést, hogy azokat az e rendelkezés értelmében vett „adatkezelésnek” kell‑e minősíteni. Ebből véleményem szerint az következik, hogy az a kérdés, hogy a személyes adatokat a mobilalkalmazásba integrált informatikai rendszerek tesztelése céljából vagy más célból gyűjtik, nem befolyásolja azt a kérdést, hogy a szóban forgó művelet „adatkezelésnek” minősíthető‑e.
50. E tekintetben megjegyzem továbbá, hogy a személyes adatok „felhasználása” (további pontosítás nélkül, és ennélfogva a felhasználás céljától függetlenül) azon műveletek vagy műveletek összessége között szerepel, amelyek „adatkezelésnek” minősülnek.(26) Ezenkívül az általános adatvédelmi rendelet 4. cikkének 2. pontja nem tartalmaz kifejezett kivételt, eltérést vagy kizárást a személyes adatok informatikai rendszerek tesztelése céljából történő felhasználásával kapcsolatos műveletekre vonatkozóan. Ebből következik, hogy nincs akadálya annak, hogy a személyes adatoknak az ilyen kísérletek elvégzése céljából történő felhasználását az e rendelkezés értelmében vett „adatkezelésnek” lehessen tekinteni, éppen ellenkezőleg.
51. E körülményekre tekintettel úgy vélem, hogy az „adatkezelésnek” az általános adatvédelmi rendelet 4. cikkének 2. pontjában szereplő meghatározása kiterjed arra a helyzetre, amelyben a személyes adatokat a mobilalkalmazás tesztelési szakaszában használják fel.
52. E tekintetben következtetésemet nem kérdőjelezi meg az a puszta tény, hogy a mobilalkalmazásba integrált informatikai rendszerek tesztelése céljából szolgáltatott személyes adatokat álnevesítésnek vethették alá.(27) Az egyetlen körülmény, amelynek fennállása esetén az általános adatvédelmi rendelet nem alkalmazandó, ha a mobilalkalmazásba szolgáltatott információk anonim információkból állnak, amelyek „nem azonosított vagy azonosítható természetes személyre vonatkoznak”, vagy olyan személyes adatokra, amelyeket „olyan módon anonimizáltak, amelynek következtében az érintett nem vagy többé nem azonosítható”. Megjegyzem azonban, hogy az iratokban szolgáltatott információk alapján nem tűnik úgy, hogy az alapügyben a tesztelési szakaszhoz felhasznált adatok ilyen anonimizált adatokból álltak volna.(28)
53. A fentiekre tekintettel úgy vélem, hogy az általános adatvédelmi rendelet 4. cikkének 2. pontjában szereplő „adatkezelés” fogalommeghatározása vonatkozik az olyan helyzetre, amikor a személyes adatokat a mobilalkalmazás tesztelési szakaszában használják fel, kivéve, ha ezeket az adatokat olyan módon anonimizálták, amelynek következtében az érintett nem vagy többé nem azonosítható. Az a kérdés, hogy a személyes adatokat mobilalkalmazásba integrált informatikai rendszerek tesztelése céljából vagy más célból gyűjtik, nem befolyásolja azt a kérdést, hogy a szóban forgó művelet „adatkezelésnek” minősül‑e.(29)
54. A fentiek tisztázását követően rátérek a jelen ügy központi kérdésére, amely azokra a feltételekre vonatkozik, amelyek mellett az általános adatvédelmi rendelet 83. cikke alapján közigazgatási bírság szabható ki az adatkezelővel vagy az adatfeldolgozóval szemben.
C. Az általános adatvédelmi rendelet 83. cikke alapján kiszabott közigazgatási bírságokról (6. kérdés)
55. Az általános adatvédelmi rendelet elfogadása előtt az adatvédelmi szabályok megsértése miatti szankciók nagyrészt a tagállamok mérlegelési jogkörébe tartoztak az utóbbiak eljárási és jogorvoslati autonómiája alapján.(30) Az e rendelet 83. cikkével bevezetett közigazgatási bírságok következésképpen az uniós adatvédelmi jog viszonylag új „fejleményét” jelentik. Ezeket a 29. cikk szerinti munkacsoport „az új végrehajtási rendszer központi elemeként” írta le.(31) Bár e rendelkezést a Bíróság még nem értelmezte, azt a felügyeleti hatóságok már alkalmazták, olykor annak érdekében, hogy súlyos bírságokat szabjanak ki az adatkezelőkre vagy az adatfeldolgozókra.(32)
56. Az általános adatvédelmi rendelet 83. cikke a megsértett rendelkezés konkrét típusától függően kétszintű szankciórendszert ír elő. Míg az e rendelet 83. cikkének (4) bekezdésében meghatározott első szint azokra a helyzetekre alkalmazandó, amikor az adatkezelő vagy az adatfeldolgozó megsérti az általános kötelezettségeit, valamint bizonyos konkrét kötelezettségeket, addig a második szint – amint azt az általános adatvédelmi rendelet 83. cikkének (5) bekezdése kimondja – súlyosabb jogsértések esetére van fenntartva, mint például az adatkezelés elveinek, az érintettek jogainak, valamint a személyes adatok harmadik országbeli címzett vagy nemzetközi szervezet részére történő továbbítására vonatkozó szabályok megsértése.
57. Mindkét szint esetében az illetékes nemzeti hatóságoknak két értékelést kell végezniük, miután megállapították az általános adatvédelmi rendelet valamely konkrét rendelkezésének megsértését. Egyrészt el kell dönteniük, hogy helye van‑e bírság kiszabásának, másrészt pedig ha így döntenek, meg kell határozniuk a bírság összegét. Ezen értékeléseket minden egyes esetben az általános adatvédelmi rendelet 83. cikkének (2) bekezdésében felsorolt különböző tényezők fényében kell elvégezni. E tényezők között szerepel „a jogsértés szándékos vagy gondatlan jellege” (a 83. cikk (2) bekezdésének b) pontja).
58. Hatodik kérdésével a kérdést előterjesztő bíróság lényegében arra keresi a választ, hogy ki lehet‑e szabni közigazgatási bírságot az adatkezelővel szemben, ha az nem szándékosan vagy gondatlanul járt el az adatvédelmi szabályok megsértése során, és a személyes adatok jogellenes kezelését nem maga az adatkezelő, hanem egy adatfeldolgozó végezte. Visszatérve a ötödik kérdéssel kapcsolatban fent általam tett megállapításokra, úgy tűnik számomra, hogy a hatodik kérdést arra az esetre terjesztették elő, ha az alapügyben az NVSC és az ITSS nem tekinthető az általános adatvédelmi rendelet 26. cikkének (1) bekezdésével összefüggésben értelmezett 4. cikkének 7. pontja értelmében vett „közös adatkezelőnek”, és azokat „adatkezelőnek”, illetve „adatfeldolgozónak” kell tekinteni. Ezen konkrét összefüggésben a kérdést előterjesztő bíróság tisztázni kívánja azokat a feltételeket, amelyek mellett az NVSC‑vel szemben az általános adatvédelmi rendelet 83. cikke alapján bírságot lehet kiszabni.
59. Ezzel együtt megjegyzem, hogy a hatodik kérdés kizárólag az általános adatvédelmi rendelet 83. cikkének (1) bekezdését említi releváns rendelkezésként. Véleményem szerint azonban az e kérdés által felvetett problémák a fenti rendelet 83. cikke egészének, és különösen – amint azt fenti 57. pontban kifejtettem – a rendelet 83. cikke (2) bekezdése b) pontjának figyelembevételét igénylik, mivel e rendelkezés „a jogsértés szándékos vagy gondatlan jellegére” utal. Úgy tekintem tehát, hogy az előzetes döntéshozatalra előterjesztett hatodik kérdés az általános adatvédelmi rendelet 83. cikke egészének értelmezésére, és nem csupán a 83. cikk (1) bekezdésének értelmezésére vonatkozik.
60. Ez a kérdés véleményem szerint két részből áll. Egyrészt annak meghatározását várja el a Bíróságtól, hogy az általános adatvédelmi rendelet 83. cikke lehetővé teszi‑e, hogy általános jelleggel közigazgatási bírságokat szabjanak ki az adatkezelőkkel vagy az adatfeldolgozókkal szemben mens rea (tudati elem – vétkesség) Hiányában. A kérdést előterjesztő bíróság lényegében azt kívánja megtudni, hogy az NVSC‑vel szemben ki lehet‑e szabni bírságot pusztán azon az alapon, hogy megsértette az őt mint adatkezelőt terhelő kötelezettségeket (objektív felelősség), vagy az érintett jogsértés(ek) elkövetése során szükséges‑e a vétkesség. Másrészt pontosításokat kér azzal kapcsolatban, hogy az a tény, hogy a személyes adatok jogellenes kezelését nem maga az adatkezelő, hanem egy adatfeldolgozó végezte, bármilyen módon érinti‑e a felügyeleti hatóságok azon lehetőségét, hogy bírságot szabjanak ki az adatkezelőre.
61. E két szempontot egymást követően vizsgálom meg.
1. Első szempont: a vétkesség megállapításának szükségessége
62. Az általános adatvédelmi rendelet 83. cikke előírja, hogy az adatvédelmi szabályok megsértése esetén kiszabott közigazgatási bírságoknak „hatékonynak, arányosnak és visszatartó erejűnek” kell lenniük. Ez kitűnik e rendelkezés (1) bekezdéséből. E bekezdés azonban nem mondja ki, hogy ilyen bírság csak akkor szabható ki, ha a vétkességet is megállapítják, azaz hogy a „vétkesség” előfeltétele‑e bármilyen közigazgatási bírság kiszabásának.
63. Ugyanezen rendelkezés (2) bekezdésének b) pontja ezzel szemben a „jogsértés szándékos vagy gondatlan jellegét” azon tényezők(33) között sorolja fel, amelyeket a felügyeleti hatóságoknak minden egyes esetben „kellőképpen figyelembe kell venniük”. Az említett rendelet 83. cikke (2) bekezdésének k) pontja szerint ezen elemek „súlyosító vagy enyhítő tényezőkként” értékelendők, és nem kimerítő jellegűek.
64. Ezen összefüggésben véleményem szerint kétféleképpen lehet értelmezni az általános adatvédelmi rendelet 83. cikkét.
65. Egyrészt úgy tekinthető, hogy bár a bírságot kiszabó határozatot és annak összegét a szóban forgó vétkesség mértékének megfelelő figyelembevételével kell meghatározni (így például főszabály szerint magasabb bírságot kell kiszabni, ha a jogsértés szándékos magatartás eredménye, és fordítva, a gondatlan magatartásnak alacsonyabb bírsággal kell járnia), semmi nem zárja ki, hogy a bírságot vétkesség hiányában is kiszabják, amennyiben az adatfeldolgozó vagy az adatkezelő felelősnek tekinthető a jogsértésért. Ezt az értelmezést megerősíti a 83. cikk (2) bekezdése b) és k) pontjának olyan olvasata, amely szerint az, hogy vétkesség különböző típusait (szándékosság vagy gondatlanság) „súlyosító vagy enyhítő tényezőkként” említik, e rendelkezések arra is utalhatnak, hogy a vétkesség általában nem előfeltétele a bírság kiszabásának.
66. Másrészt úgy is lehetne érvelni – amint azt a Bizottság a jelen ügyben teszi –, hogy a jogsértést elkövető személy vagy szervezet gondatlanságát minimumkövetelményként a bírság kiszabását megelőzően bizonyítani kell. E megközelítést megerősíti az általános adatvédelmi rendelet 83. cikke (2) bekezdése b) és k) pontjának eltérő, óvatosabb értelmezése, vagyis az, hogy e rendelkezések arra kötelezik a felügyeleti hatóságokat, hogy tegyenek különbséget egy enyhítő körülmény (gondatlanság) és egy súlyosító körülmény (szándékosság) között, de nem utalnak arra, hogy a bírságot a vétkesség teljes hiányában is ki lehetne szabni.
67. A Bizottság kifejezetten ezt az értelmezést választotta az általános adatvédelmi rendelet elfogadását eredményező eredeti javaslatában,(34) amelyben azt javasolta, hogy a bírságok rendszerét háromszintű rendszerként szervezzék meg. A Bizottság az egyes szintek tekintetében azt javasolta, hogy csak azokkal szemben szabhassanak ki bírságot, „aki[k] szándékosan vagy gondatlanságból”(35) egy vagy több állítólagos jogsértést követtek el. A vétkességet tehát a Bizottság egyértelműen úgy tekintette, mint az ilyen bírság kiszabásának előfeltételét.(36)
68. Bár véleményem szerint mindkét megközelítés védhető az általános adatvédelmi rendelet 83. cikke (2) bekezdésének szó szerinti értelmezése alapján, mivel mindkettő megfelel a „jogsértés szándékos vagy gondatlan jellege” „súlyosbító” vagy „enyhítő” tényezőként való értelmezésének, úgy vélem, hogy csak a második megközelítés tükrözi megfelelően az uniós jogalkotó szándékát. Több indok is alátámasztja ezt a következtetést.
a) A vétkesség megkövetelésének okairól
69. Először is megjegyzem, hogy az általános adatvédelmi rendelet 83. cikkének (2) bekezdésében felsorolt több elem tartalmaz olyan konkrét megfogalmazást, amelyből arra lehet következtetni, hogy az ilyen tényezők nem minden esetre, hanem csak bizonyos esetekre vonatkozhatnak. Közelebbről a 83. cikk (2) bekezdésének c), e) és k) pontja angolul az „any [bármely]” szóval kezdődik („az adatkezelő vagy az adatfeldolgozó részéről az érintettek által elszenvedett kár enyhítése érdekében tett bármely intézkedés”; „[…] korábban elkövetett releváns jogsértések”; „az eset körülményei szempontjából releváns egyéb súlyosbító vagy enyhítő tényezők”), ami azt sugallja, hogy bár a felügyeleti hatóságoknak mindig figyelembe kell venniük az enyhítő intézkedések, az előzetes jogsértések, illetve más releváns súlyosbító vagy enyhítő tényezők fennállását, amennyiben ilyenek előállnak vagy bizonyítottak, ténylegesen előfordulhatnak olyan helyzetek, amelyekben ugyanezen elemek egyszerűen hiányoznak, de az illetékes adatvédelmi hatóság mégis dönthet úgy, hogy bírságot szab ki (vagy fordítva, hogy nem szab ki bírságot). Ugyanezen gondolatmenetet követve megjegyzem, hogy az az általános adatvédelmi rendelet 83. cikk (2) bekezdésének i) pontja sem következetesen került megfogalmazásra, mivel annak vizsgálatát követeli meg, hogy az adatkezelő vagy az adatfeldolgozó betartotta‑e az említett rendelet 58. cikkének (2) bekezdésében említett intézkedéseket, de csak akkor, „ha az érintett adatkezelővel vagy adatfeldolgozóval szemben korábban [ilyen intézkedéseket rendeltek el]”.
70. Ezzel szemben a 83. cikk (2) bekezdésének b) pontja a „jogsértés szándékos vagy gondatlan jellegét” említi.(37) E tekintetben számomra úgy tűnik, hogy ez azon elemek közé tartozik, amelyeknek fenn kell állniuk, vagy képletesen fogalmazva, amelyet minden esetben „ki kell pipálni” a bírság kiszabása előtt, ugyanúgy, mint „a jogsértés jellege, súlyossága és időtartama” (a 83. cikk (2) bekezdésének a) pontja), az „érintett személyes adatok kategóriái” (a 83. cikk (2) bekezdésének g) pontja) és „az, ahogyan […] tudomást [szereztek] a jogsértésről” (a 83. cikk (2) bekezdésének h) pontja) elemeket. Ezen egyéb tényezőknek szintén fenn kell állniuk valamennyi ügyben: például a „jogsértés jellege, súlyossága és időtartama” ügyenként jelentősen eltérhet (és ennek megfelelően a bírság kiszabása „melletti” vagy „elleni” érvnek minősülhet). Ugyanakkor minden esetben fennáll a jogsértés jellege, valamilyen fokú súlyossága és valamilyen időtartama. Véleményem szerint ez azt valószínűsítő körülmény, hogy az általános adatvédelmi rendelet 83. cikkében a közigazgatási bírságokat úgy vezették be, hogy azokat csak olyan helyzetekben szabják ki, amelyekben az állítólagos jogsértést szándékosan vagy gondatlanságból követték el.(38)
71. Másodszor megjegyzem, hogy bár az általános adatvédelmi rendelet 83. cikkének (2) bekezdése nem mondja ki kifejezetten, hogy a jogsértést „szándékosan vagy gondatlanságból” kell elkövetni, ugyanez nem vonatkozik ugyanezen rendelkezés (3) bekezdésére, amely a közigazgatási bírságok halmozását kizáró általános szabályt tartalmaz. Ez a bekezdés ugyanis kizárólag azt az esetet említi, amikor az érintett jogsértést vagy jogsértéseket „szándékosan vagy gondatlanságból” követték el.
72. Véleményem szerint ebből logikusan következik, hogy az általános adatvédelmi rendelet 83. cikkének (2) bekezdését úgy kell értelmezni, hogy bírság kizárólag akkor szabható ki, ha az állítólagos jogsértést szándékosan vagy gondatlanságból követték el. Ha ugyanis az általános adatvédelmi rendelet 83. cikke (2) és (3) bekezdésének hatálya egymástól eltérő lenne, akkor ki lehetne szabni összesített bírságokat a kevésbé súlyos (azaz vétkesség nélkül elkövetett) jogsértések miatt, mivel bár e jogsértések az első rendelkezés (a 83. cikk (2) bekezdése) alapján továbbra is bírság kiszabásához vezethetnének, nem tartoznának a második rendelkezés (a 83. cikk (3) bekezdése) hatálya alá. Ugyanez azonban nem lenne lehetséges a gondatlanságból vagy szándékosan elkövetett jogsértések esetében, mivel ezek az említett rendelet 83. cikkének (3) bekezdésében foglalt halmozás tilalmának hatálya alá tartoznának. Ezen eredmény nyilvánvalóan ellentétes lenne az általános adatvédelmi rendelet által bevezetett szankciórendszer alapelvével, amely szerint a súlyos jogsértéseket főszabály szerint a kevésbé súlyos jogsértéseknél szigorúbban kell szankcionálni, nem pedig fordítva.
73. Harmadszor megjegyzem, hogy az általános adatvédelmi rendelet 83. cikke alapján kiszabott bírságok súlyos szankciókat vonhatnak maguk után. Az e rendelet 83. cikkének (4) bekezdésében említett első szint ugyanis 10 000 000 euróig, illetve vállalkozás esetében az előző pénzügyi év teljes éves világpiaci forgalmának 2%‑áig terjedő bírság kiszabásához vezethet, attól függően, hogy melyik a magasabb. A második szint 20 000 000 euróig terjedő bírságot ír elő, illetve vállalkozás esetében az előző pénzügyi év teljes éves világpiaci forgalmának 4%‑áig terjedő bírságot (ismét csak a magasabb értéket kell figyelembe venni).
74. Következésképpen úgy tűnik számomra, hogy az általános adatvédelmi rendelet 83. cikke alapján kiszabott bírságok legalábbis bizonyos helyzetekben büntető célt követnek,(39) és olyan súlyosak, hogy azokat büntetőjogi jellegűnek,(40) és ennélfogva az Európai Unió Alapjogi Chartája (a továbbiakban: Charta) 49. cikkének hatálya alá tartozónak lehet tekinteni.(41)
75. E tényezőkre és különösen az általános adatvédelmi rendelet 83. cikke alapján kiszabott bírságok büntetőjogi jellegére tekintettel felmerülhetne azon érv, hogy összeegyeztethetetlen lenne a fenti rendelkezés (1) bekezdésében foglalt azon követelménnyel, hogy a bírságok ne csak „hatékonyak” és „visszatartó erejűek” legyenek, hanem „arányosak” is, ha vétkesség hiányában is lehetővé tennék az ilyen bírságok kiszabását. Más szavakkal, aránytalan lenne bírságot kiszabni abban az esetben, ha még gondatlanság sem bizonyított. Véleményem szerint ez az érv azonban nehezen igazolható, mivel a Bíróság már megállapította, hogy az objektív felelősségen alapuló büntetési vagy szankciórendszer, még ha büntetőjogi jellegű is, önmagában nem aránytalan az elérni kívánt célokhoz képest, amennyiben ez a rendszer jellegénél fogva alkalmas arra, hogy az érintett személyeket valamely rendelet rendelkezéseinek tiszteletben tartására ösztönözze, és amennyiben az elérni kívánt célok olyan közérdeket képeznek, amely alkalmas arra, hogy igazolja ilyen rendszer bevezetését.(42) Ezenkívül az Emberi Jogok Európai Bírósága (EJEB) az emberi jogok európai egyezményének (EJEE) (a Charta 49. cikkének megfelelő) 7. cikkével(43) kapcsolatban kimondta, hogy bár az e rendelkezés szerinti szankció általában olyan tudati kapcsolat fennállását követeli meg, amely lehetővé teszi a jogsértés fizikai elkövetőjének magatartásában a felelősség valamely elemének azonosítását, e követelmény nem zárja ki az objektív felelősség bizonyos formáinak fennállását.(44)
76. Mindemellett ezen ítélkezési gyakorlatból úgy értelmezem, hogy főszabály szerint büntetőjogi szankció kiszabásához szükséges a mens rea, és hogy az objektív felelősség tehát egyfajta „kivételt” jelent ezen általános szabály alól, mivel azt a rendelet által követett célkitűzésekre tekintettel kell igazolni.
77. Figyelemmel az általános adatvédelmi rendelet egészére, számomra úgy tűnik, hogy az uniós jogalkotó a közigazgatási bírságokat csupán a tényleges megfelelés biztosítása érdekében e jogi aktusban előírt eszközök egyikének tekintette. A bírságokat ugyanis az említett rendelet 58. cikkének (2) bekezdésében felsorolt egyéb intézkedések „mellett vagy helyett” kell kiszabni, amely rendelkezés a felügyeleti hatóságokat egy sor korrekciós hatáskörrel (például figyelmeztetések, elmarasztalások vagy utasítások kibocsátására vonatkozó hatáskörrel) ruházza fel.(45) Ezenkívül azokban a helyzetekben, amikor az általános adatvédelmi rendelet 83. cikke alapján nem szabnak ki közigazgatási bírságot, a felügyeleti hatóságoknak lehetőségük van arra, hogy e rendelet 84. cikke alapján más szankciókat szabjanak ki.(46)
78. Véleményem szerint e rendelkezések egyértelművé teszik, hogy e rendelet elfogadásakor az uniós jogalkotónak nem állt szándékában, hogy az adatvédelmi szabályok bármely megsértése közigazgatási bírsággal legyen büntethető. Ehelyett a büntetések és szankciók rugalmas és differenciált rendszerét kívánta létrehozni. Ezt megerősíti az általános adatvédelmi rendelet (148) preambulumbekezdése, amely kimondja, hogy a felügyeleti hatóságok eltekinthetnek a közigazgatási bírság kiszabásától, és ehelyett megrovást alkalmazhatnak, „kisebb [jogmegsértés] esetén, illetve ha a valószínűsíthetően kiszabásra kerülő bírság egy természetes személy számára aránytalan terhet jelentene”. Ebben az összefüggésben az általános adatvédelmi rendelet 83. cikke alkalmazásának azokra a helyzetekre való korlátozása, amelyekben minimumkövetelményként megállapítható a gondatlanság, véleményem szerint összhangban áll e célkitűzésekkel és e különböző rendelkezések azon általános logikájával, amely szerint a közigazgatási bírságok kiszabását bizonyos típusú jogsértések esetére kell fenntartani.
79. Úgy tűnik továbbá számomra, hogy amikor az uniós jogalkotó kinyilvánította arra irányuló szándékát, hogy objektív vagy vélelmezett felelősséget kíván előírni az általános adatvédelmi rendeletben, ezt olyan konkrét kifejezések alkalmazásával tette, amelyek nem szerepelnek az általános adatvédelmi rendelet 83. cikkében. Például, ami az általános adatvédelmi rendelet 82. cikkének hatálya alá tartozó polgári jogi felelősséget (azaz az adatkezelők és az adatfeldolgozók érintettekkel szembeni felelősségét) illeti, az uniós jogalkotó jelezte, hogy az adatkezelők és az adatfeldolgozók feltétlenül kötelesek megtéríteni az érintettek által elszenvedett károkat, kivéve, ha bizonyítani tudják, hogy a kárt előidéző eseményért őket semmilyen módon nem terheli felelősség.(47) Ezzel szemben e rendelet 83. cikke nem tartalmaz az általános adatvédelmi rendelet 84. cikkéhez hasonló megfogalmazást. Ez véleményem szerint megerősíti, hogy az uniós jogalkotónak nem állt szándékában e rendelkezéssel objektív vagy vélelmezett felelősségen alapuló bírságolási rendszert létrehozni.
80. Negyedszer és legfőképpen úgy vélem, hogy a gyakorlatban az általános adatvédelmi rendelet 83. cikke (2) bekezdésének b) pontja értelmében vett gondatlan jogsértés megállapításakor alkalmazott küszöb mindenképpen olyan alacsony, hogy nehéz elképzelni olyan helyzetet, amikor e küszöböt nem érik el, és amikor nem lehet bírságot kiszabni pusztán azért, mert ezen elem nem áll fenn. Ezért úgy vélem, hogy pusztán az a tény, hogy a rendelet 83. cikkének alkalmazásában a bírság kiszabásához szándékosságot vagy gondatlanságot kell megállapítani, nem veszélyezteti az uniós jogalkotó azon célját, hogy biztosítsa az abban foglalt adatvédelmi szabályok hatékony végrehajtását, éppen ellenkezőleg.
81. Egyesek e tekintetben azzal érveltek, hogy önmagában a fellépés hiánya olyan helyzetben, amikor az adatkezelőnek vagy az adatfeldolgozónak csupán kétségei vannak a kifogásolt adatkezelés jogszerűségével kapcsolatban, már az általános adatvédelmi rendelet esetleges megsértésének szándékos elfogadását, és ebből következően súlyos gondatlanságot jelent.(48) Ezenkívül a 29. cikk szerinti munkacsoport azt javasolta, hogy a gondatlanságból elkövetett jogsértés több szempontból „nem szándékos” jogsértésnek minősüljön, mivel véleménye szerint ilyen jogsértés akkor is megvalósulhat, ha nem áll fenn a jogsértés előidézésére irányuló szándék, és az adatkezelő vagy az adatfeldolgozó egyszerűen megsértette gondossági kötelezettségét.(49) Közelebbről rámutatott arra, hogy még a nyilvánvaló és egyszerű „emberi hiba”(50) is utalhat gondatlanságra.
82. Két következtetés vonható le. Először is, a tisztán szándékos és a gondatlanságból elkövetett jogsértés közötti választóvonal valójában nagyon vékony. Úgy vélem, hogy a felügyeleti hatóságok ritkán szembesülnek nehézségekkel, amikor elegendő bizonyítékot próbálnak találni arra vonatkozóan, hogy az állítólagos jogsértés legalább gondatlanságból történt. E tekintetben megjegyzem, hogy a szakirodalomban megállapításra került, hogy „tekintettel az általános adatvédelmi rendeletnek való megfelelés biztosítására irányuló […] számos jelenlegi figyelemfelkeltő fellépésre, nehéz elképzelni […] az általános adatvédelmi rendelet megsértését legalább a gondatlanság fennállása nélkül”.(51) Teljes mértékben egyetértek, és emlékeztetnék arra, hogy az általános adatvédelmi rendelet célja kifejezetten annak biztosítása, hogy az adatkezelők és az adatfeldolgozók tisztában legyenek az adatvédelmi szabályokkal, ami véleményem szerint még nehezebbé teszi annak megállapítását, hogy a jogsértés vétkesség nélkül is bekövetkezhet (még gondatlanság nélkül is).(52)
83. Másodszor, úgy tűnik, hogy ez az eredmény teljes mértékben összhangban van az általános adatvédelmi rendelet fő céljával, amely a természetes személyek következetes és magas szintű védelme az Európai Unióban.(53) A bírságok elrettentő hatásúak.(54) Mivel arra ösztönzik az adatkezelőket és az adatfeldolgozókat, hogy feleljenek meg az általános adatvédelmi rendeletnek, összességében hozzájárulnak az érintettek védelmének megerősítéséhez, és ezért kulcsfontosságú szerepet játszanak jogaik tiszteletben tartásának biztosításában.(55) Ebből véleményem szerint az következik, hogy bár a „vétkességet” nem lehet figyelmen kívül hagyni, az e rendelet 83. cikkének alkalmazásához megkövetelt vétkességi szint kellően alacsony az érintett személyek megfelelő szintű védelmének biztosítása érdekében.
84. Ezenkívül hangsúlyozom, hogy az általam a Bíróságnak javasolt megközelítés megerősíti az e rendelkezés által létrehozott bírságolási rendszernek az 1/2003/EK rendelet(56) 23. cikkének (1) bekezdésében a versenyjogi jogsértések tekintetében előírt bírságolási rendszerrel fennálló összhangját, mely utóbbi szintén csak akkor alkalmazandó, ha a szándékosság vagy gondatlanság bizonyítást nyer. Azt a tényt, hogy e másik bírságolási rendszert az általános adatvédelmi rendelet 83. cikkének szövege ihlette, megerősíti az általános adatvédelmi rendelet (150) preambulumbekezdése, amely kimondja, hogy „[h]a a közigazgatási bírságokat vállalkozásokra szabják ki, akkor a vállalkozás fogalmát e célból az EUMSZ 101. és 102. cikkben meghatározott vállalkozásokra vonatkozó szabályoknak megfelelően kell értelmezni”, valamint az e két bírságolási rendszer közötti egyéb hasonlóságok is, mint például az, hogy a vállalkozások esetében a bírságok összege mindkét rendszerben a forgalmukon alapulhat. Megjegyzem továbbá, hogy az általános adatvédelmi rendelet 83. cikkének (2) bekezdésében felsorolt tényezők közül több is a versenyjog megsértéséért kiszabott bírság összegének meghatározása szempontjából releváns tényezőket tükrözi.(57)
85. Miután kifejtem azokat az okokat, amelyek miatt úgy vélem, hogy a vétkességet meg kell állapítani azt megelőzően, hogy az általános adatvédelmi rendelet 83. cikkének (2) bekezdése alapján bírságot lehetne kiszabni az adatkezelővel vagy az adatfeldolgozóval szemben, még néhány szót kell szólnom a Tanács és a litván kormány érveléséről. E felek szerint a tagállamoknak kell eldönteniük, hogy szükség van‑e a vétkesség megállapítására a közigazgatási bírság kiszabása előtt.
86. Én a magam részéről egyszerűen nem értek egyet ezzel a javaslattal.
b) A tagállamoknak miért nincs mérlegelési mozgásterük a tekintetben, hogy szükség van‑e a vétkesség megállapítására?
87. Számomra egyértelmű, hogy az általános adatvédelmi rendelet és különösen 83. cikkének egyik alapvető célja az, hogy az Európai Unióban magasabb szintű harmonizációt érjenek el, különösen a bírságok kiszabása tekintetében.(58) E tekintetben úgy vélem, hogy ellentétben azzal, amit a Tanács és a litván kormány állít, az uniós jogalkotónak nem az volt a szándéka, hogy a tagállamok mérlegelési mozgástérrel rendelkezzenek azon kérdést illetően, hogy szükség van‑e vétkesség megállapítására.
88. Igaz, hogy a nemzeti jogszabályok további követelményeket írhatnak elő a felügyelő hatóságok által a bírság kiszabása érdekében követendő eljárásra vonatkozóan (olyan kérdések tekintetében, mint a bírság bejelentése, az észrevételek benyújtására, a fellebbezésre, a végrehajtásra és a fizetésre vonatkozó határidők).(59) Ez egyértelműen kitűnik az általános adatvédelmi rendelet 83. cikkének (8) bekezdéséből, amely kimondja, hogy a felügyeleti hatóságok a bírságokkal kapcsolatos hatásköreiket „megfelelő […] eljárási garanciák […] biztosításával” gyakorolják, amelyeket a nemzeti jog ír elő, amennyiben biztosított az uniós jognak (és különösen a hatékony jogorvoslathoz és a jogszerű eljáráshoz való jognak) való megfelelés.
89. E mérlegelési mozgástér azonban nem terjedhet ki a bírság kiszabására alkalmazandó anyagi jogi követelményekre, mint például a vétkesség fokára. Álláspontom szerint e következtetés közvetlenül következik az említett rendelet több preambulumbekezdéséből,(60) amelyek arra utalnak, hogy az uniós jogalkotó szándéka szerint az általános adatvédelmi rendelet 83. cikke által bevezetett közigazgatási bírságok rendszere az Európai Unió egész területén következetes eredményeket kívánt elérni.
90. A teljesség kedvéért hozzáteszem, hogy mivel a bírságok jelentős hatást gyakorolnak a vállalkozások közötti versenyre, és jelentős hatást gyakorolnak a piacra, véleményem szerint alapvető fontosságú, hogy az általános adatvédelmi rendelet 83. cikkét következetesen alkalmazzák, különben ténylegesen hozzájárulhat a vállalkozások közötti verseny torzulásához.(61)
2. A második szempont: kiszabható‑e bírság az adatkezelővel szemben olyan jogsértés miatt, amelyet olyan összefüggésben követtek el, amelyben a jogellenes adatkezelést nem az adatkezelő, hanem egy adatfeldolgozó végezte?
91. A hatodik kérdés második részében a kérdést előterjesztő bíróság lényegében azt kívánja megtudni, hogy az általános adatvédelmi rendelet 83. cikke alapján kiszabható‑e bírság az adatkezelővel szemben olyan összefüggésben, amelyben a személyes adatok jogellenes kezelését nem maga az adatkezelő, hanem egy adatfeldolgozó (a jelen esetben az ITSS) végezte.
92. Véleményem szerint erre a kérdésre igenlő választ kell adni.
93. E tekintetben emlékeztetek arra, hogy – amint arra a jelen indítvány fenti 27. pontjában rámutattam – az adatkezelőnek nem kell saját magának kezelnie a személyes adatokat, amennyiben ő határozza meg, hogy hogy az érintett adatkezelési műveletek „miért és hogyan” valósulnak meg. Megjegyzem továbbá, hogy az általános adatvédelmi rendelet 4. cikkének 8. pontja az „adatfeldolgozót” úgy határozza meg, hogy az „az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel”.(62)
94. E fogalommeghatározások véleményem szerint megerősítik, hogy az általános adatvédelmi rendelet alkalmazásával összefüggésben az adatkezelő e rendelet 83. cikke alapján felelősségre vonható, és ennélfogva bírság szabható ki vele szemben olyan helyzetben, amikor a személyes adatokat jogellenesen kezelik, és a jogellenes adatkezelést nem maga az adatkezelő, hanem egy adatfeldolgozó végezte. Ez a lehetőség mindaddig fennáll, amíg az adatfeldolgozó az adatkezelő nevében személyes adatokat kezel.
95. Ez az eset áll fenn mindaddig, amíg az adatfeldolgozó az adatkezelő által ráruházott megbízásnak megfelelően jár el, és az adatokat az adatkezelőtől kapott jogszerű utasításoknak megfelelően kezeli.(63) Ha azonban az adatfeldolgozó túllép e megbízás hatályán, és az adatfeldolgozóként kapott adatokat saját céljaira használja fel, és egyértelmű, hogy a felek nem az általános adatvédelmi rendelet 4. cikkének (7) bekezdése és 21. cikkének (6) bekezdése értelmében vett „közös adatkezelők”, véleményem szerint az adatkezelővel szemben e rendelet 83. cikke alapján nem szabható ki bírság a megvalósult jogellenes adatkezelésért.(64)
96. Ebből következik, hogy az alapügyben szereplőhöz hasonló esetben az általános adatvédelmi rendelet 83. cikke alapján bírság szabható ki az NVSC‑vel szemben, még akkor is, ha a személyes adatokat kizárólag az ITSS kezelte jogellenesen, az NVSC pedig nem vett részt az adatkezelésben. E lehetőség addig áll fenn, amíg úgy tekinthető, hogy ez a társaság az NVSC nevében kezelt személyes adatokat, ami nem áll fenn, ha az ITSS az NVSC jogi utasításain túllépve vagy azokkal ellentétesen járt el, és saját céljaira használt fel személyes adatokat, továbbá egyértelmű, hogy az NVSC és az ITSS nem közös adatkezelőként járt el.
V. Végkövetkeztetések
97. A fenti megfontolásokra tekintettel azt javaslom, hogy a Bíróság a Vilniaus apygardos administracinis teismas (vilniusi megyei közigazgatási bíróság, Litvánia) által előzetes döntéshozatalra előterjesztett kérdésekre a következő választ adja:
1) A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 4. cikkének 7. pontját
úgy kell értelmezni, hogy az a jogalany, amely mobilalkalmazás kifejlesztését kezdeményezi, csak abban az esetben tekinthető az e rendelkezés értelmében vett „adatkezelőnek”, ha elegendő olyan ténybeli, nem pedig formális körülmény áll fenn, amely lehetővé teszi a nemzeti bíróságok számára annak megállapítását, hogy az ilyen jogalany tényleges befolyást gyakorolt ezen adatkezelés „céljaira és eszközeire”, valamint hozzájárult a mobilalkalmazás nyilvánosság számára történő hozzáférhetővé tételéhez, és ebből következően a személyes adatok kezeléséhez.
2) E rendelkezést a fenti rendelet 26. cikkének (1) bekezdésével összefüggésben
úgy kell értelmezni, hogy ahhoz, hogy két vagy több adatkezelő „közös adatkezelőnek” minősüljön, két feltételnek kell teljesülnie: egyrészt minden közös adatkezelőnek önállóan kell teljesítenie az „adatkezelőnek” az említett rendelet 4. cikkének 7. pontjában szereplő fogalommeghatározásában felsorolt kritériumokat, másrészt pedig az adatkezelőknek az adatkezelés „céljaira és eszközeire” együttesen kell befolyást gyakorolniuk. Ezenkívül az adatkezelők közötti megállapodás vagy akár koordináció hiánya önmagában nem zárhatja ki annak megállapítását, hogy az adatkezelők e rendelkezések értelmében vett „közös adatkezelőknek” minősülnek.
3) A fenti rendelet 4. cikkének 2. pontját
úgy kell értelmezni, hogy az „adatkezelés” fogalommeghatározása vonatkozik az olyan helyzetre, amikor a személyes adatokat a mobilalkalmazás tesztelési szakaszában használják fel, kivéve, ha ezeket az adatokat anonimizálják, és azok nem azonosított vagy azonosítható természetes személyre vonatkoznak, valamint az olyan személyes adatokra, amelyeket olyan módon anonimizáltak, amelynek következtében az érintett nem vagy többé nem azonosítható. Az a kérdés, hogy a személyes adatokat mobilalkalmazásba integrált informatikai rendszerek tesztelése céljából vagy más célból gyűjtik, nem befolyásolja azt a kérdést, hogy a szóban forgó művelet „adatkezelésnek” minősül‑e.
4) A 2016/679 rendelet 83. cikkét
úgy kell értelmezni, hogy bírság csak a szabályok „szándékosan vagy gondatlanságból” elkövetett megsértésének szankcionálása céljából szabható ki. Ezenkívül e rendelkezés alapján még abban az esetben is bírság szabható ki az adatkezelővel szemben, ha a jogellenes adatkezelést az adatfeldolgozó végzi. E lehetőség annyiban, amennyiben megállapítást nyer, hogy az adatfeldolgozó az adatkezelő nevében jár el. Ha azonban az adatfeldolgozó az adatkezelő jogszerű utasításain túllépve vagy azok megsértésével kezel személyes adatokat, és a kapott személyes adatokat saját céljaira használja fel, továbbá egyértelmű, hogy a felek nem az e rendelet 4. cikkének (7) bekezdése és 21. cikkének (6) bekezdése értelmében vett „közös adatkezelők”, az adatkezelővel szemben a fenti rendelet 83. cikke alapján nem szabható ki bírság a jogellenes adatkezelés miatt.